Сервер создания и проверки электронной подписи «Signal-COM DSS Server»
Реализован с использованием СКЗИ «Signal-COM JCP 3.1» (варианты исполнения 1, 2). Сертификаты ФСБ России СФ/114-4344 и СФ/124-4345 от 18 Сентября 2022 г.
Программный продукт Signal-COM DSS Server представляет собой специализированный сервер электронной подписи, реализующий стандарт OASIS Digital Signature Service, и предназначен для выполнения операций создания и проверки электронных подписей.
Описание
Цены
Отзыв
Описание
Основные характеристики Signal-COM DSS Server:
выполнен в виде Java EE приложения и может исполняться на любом сервере приложений, поддерживающем спецификацию JAX-WS 2.2 и выше;
предоставляет программный интерфейс по протоколу SOAP;
реализует следующие протоколы электронной подписи:
— CMS в соответствии с RFC 5652, RFC 4490 и рекомендациями ТК 26, — XMLDSig в соответствии с рекомендациями W3C и ТК 26, — CAdES (CMS Advanced Electronic Signatures);
реализует следующие алгоритмы электронной подписи:
— ГОСТ Р 34.10-2012, — ГОСТ Р 34.10-2001 (только проверка электронной подписи), — RSA;
поддерживает криптографический алгоритм шифрования ГОСТ при отправке и приеме файлов;
формирует электронную подпись в документах: MS Office, PDF;
позволяет добавлять в подпись метки доверенного времени в соответствии с RFC 5126 и RFC 3161;
использует сертификаты ключей проверки электронной подписи и списки аннулированных сертификатов (CRL) в формате ITU-T X.509 в соответствии с RFC 3280, RFC 4491 и рекомендациями ТК 26;
при проверке статуса сертификатов может использовать протокол OCSP.
Варианты использования Signal-COM DSS Server:
1. Создание электронной подписи в «облаке»
При создании электронной подписи с использованием облачного сервиса применяется схема централизованного хранения ключей ЭП пользователей в специальном аппаратном модуле (HSM), отвечающем за сохранность ключей на протяжении всего жизненного цикла.
Электронная подпись нужного формата формируется на сервере электронной подписи (DSS), который использует в качестве хранилища ключей HSM.
Удалённые пользователи могут получать доступ к услуге электронной подписи, пользуясь веб-приложением, не содержащим реализации криптографических функций. При этом веб-приложение может исполняться как на настольном персональном компьютере, так и на планшете или смартфоне.
Пример упрощенной схемы создания электронной подписи в «облаке» при взаимодействии удалённого пользователя с системой дистанционного банковского обслуживания (ДБО):
Удалённый пользователь в веб-приложении, загружаемом с сервера ДБО, заполняет форму, данные которой необходимо заверить электронной подписью, и нажимает кнопку «Подписать».
Сервер ДБО перенаправляет пользователя на сервер аутентификации (IdP), где выполняется его идентификация и аутентификация*. После её проведения сервер аутентификации выдаёт (или не выдаёт) пользователю заверенное разрешение на допуск к серверу подписи.
Веб-приложение пользователя передаёт данные формы вместе с разрешением на допуск серверу подписи (DSS). Сервер подписи создаёт электронную подпись для данных формы, взаимодействуя с аппаратным хранилищем ключей подписи пользователей (HSM).
Веб-приложение пользователя перенаправляет электронную подпись на сервер ДБО, где производится её проверка и обработка данных формы.
В ходе реализации конкретных проектов отдельные компоненты, приведённые на схеме, могут объединяться (например, сервер подписи и сервер аутентификации или сервер ДБО и сервер аутентификации).
Все каналы взаимодействия между компонентами защищаются по протоколу HTTPS.
* — Методы аутентификации пользователей могут быть самыми разными, например, двухфакторная аутентификация с использованием одноразового пароля (OTP). Этот пароль может передаваться пользователю по SMS, либо генерироваться OTP-токеном или специальной программой генерации одноразовых паролей.
2. Создание электронной подписи в «облаке» с использованием временных ключей (сессионная электронная подпись)
Пользователь может создавать юридически значимые электронные подписи не имея долговременных ключей ЭП и квалифицированного сертификата. Для этого он может воспользоваться услугами сервиса по созданию ЭП в «облаке» с применением временных (одноразовых) ключей.
Удалённые пользователи могут получать доступ к услуге электронной подписи, обратившись к оператору веб-сервера ЭП. Веб-сервер ЭП является доверенным посредником между пользователем, удостоверяющим центром и сервером создания ЭП, а также обеспечивает отправку подписанных документов на сервер услуг.
Пример упрощенной схемы создания электронной подписи в «облаке» с использованием временных ключей при взаимодействии удалённого пользователя с сервером услуг:
Пользователю необходимо направить документ с электронной подписью на сервер услуг (это может быть, например, Росреестр, ПФР и т. д.). Для этого он предоставляет оператору удостоверение личности, а также данные, необходимые для заполнения документа. Оператор идентифицирует пользователя.
Оператор на основании предоставленного пользователем удостоверения личности и документов заполняет форму в веб-приложении и нажимает кнопку «Создать сертификат и подписать».
Приложение на веб-сервере посылает команду на создание ключей серверу создания ЭП (DSS). Сервер ЭП создаёт ключи и запрос на сертификат открытого ключа ЭП.
Приложение на веб-сервере, взаимодействуя по защищённому каналу с аккредитованным УЦ, получает сертификат открытого ключа ЭП на имя пользователя.
Приложение на веб-сервере формирует команду на создание ЭП и последующее уничтожение ключа ЭП.
Приложение веб-сервера осуществляет отправку документа и электронной подписи на сервер услуг, где производится проверка ЭП и обработка документа. Как альтернатива, подписанный ЭП документ может быть скопирован пользователю на электронный носитель (флешку).
Все каналы взаимодействия между компонентами защищаются по протоколу HTTPS.
3. Проверка и создание ЭП с использованием сервера электронной подписи
Сервер электронной подписи (DSS) может использоваться в любой прикладной системе, где требуется заверение с помощью ЭП документов произвольного формата и содержания.
При этом DSS может использоваться как для проверки, так и для создания ЭП. Формат подписи – CMS или XMLDSig.
При проверке или создании в ЭП могут быть добавлены штампы времени (согласно протоколам TSP, CAdES).
При построении цепочки и проверке сертификата открытого ключа ЭП сервер DSS может пользоваться сетевыми справочниками (LDAP) и службами проверки актуального статуса сертификата (OCSP).
Помимо проверки ЭП пользователей DSS может применяться для создания ЭП под электронными документами при взаимодействии с внешними системами и/или с пользователем.
Пример упрощенной схемы проверки электронной подписи при взаимодействии удалённого пользователя с системой дистанционного банковского обслуживания:
Пользователь формирует документы для отправки и выполняет операцию подписания с помощью локального средства ЭП (ключ электронной подписи хранится на локальном носителе, например, на токене). Документы с подписью отправляются в систему ДБО.
Система ДБО отправляет полученные электронные документы с подписью на проверку. Сервер подписи (DSS) осуществляет проверку ЭП, используя связи со справочниками и онлайновыми службами УЦ. По результатам проверки DSS формирует протокол проверки. В процессе проверки в подпись могут быть добавлены штампы времени, продлевающие время жизни ЭП.
Цены
Стоимость лицензии на право использования Signal-COM DSS Server на одном сервере – 600 000 руб. Годовая техническая поддержка – 12% от стоимости ПО. Гарантийное обслуживание — 1 год.
